Resumo de porta - borda consolidada em escala com balanceadores de carga de hardware no Lync Server 2013

Tópico da última modificação: 2015-04-27

A funcionalidade do servidor de borda do Lync Server 2013 descrita nesta arquitetura de cenário é muito semelhante à implementada no Lync Server 2010. A adição mais perceptível é a porta 5269 sobre a entrada TCP para o protocolo de mensagens extensíveis e de presença (XMPP). O Lync Server 2013, opcionalmente, implanta um proxy XMPP no servidor de borda ou no pool de periféricos e o servidor de Gateway XMPP no servidor front-end ou no pool de front-end.

Além do IPv4, o servidor de borda agora oferece suporte ao IPv6. Para fins de clareza, somente o IPv4 é usado nos cenários.

Borda consolidada dimensionada usando o balanceamento de carga de hardware

Portas e protocolos de rede do perímetro do servidor de borda

Detalhes de protocolo e porta

É recomendável que você abra apenas as portas necessárias para dar suporte à funcionalidade para a qual você está fornecendo acesso externo.

Para que o acesso remoto funcione para qualquer serviço de borda, é obrigatório que o tráfego SIP tenha permissão de fluxo bidirecional, conforme mostrado na figura de tráfego de borda de entrada/saída. Declarado de outra maneira, o recurso de mensagens SIP para e do serviço de borda de acesso está envolvido em mensagens instantâneas (IM), presença, Web conferência, áudio/vídeo (A/V) e Federação.

Resumo de firewall para borda consolidada dimensionada, carga de hardware balanceada: interface externa – nó 1 e nó 2 (exemplo)

Função/protocolo/TCP ou UDP/porta Endereço IP de Origem Endereço IP de Destino Notas

Access/HTTP/TCP/80

Endereço IP público do serviço de borda do acesso ao servidor de borda

Qualquer um

Revogação e verificação de revogação/revogação de certificados e recuperação

Access/DNS/TCP/53

Endereço IP público do serviço de borda do acesso ao servidor de borda

Qualquer um

Consulta DNS via TCP

Access/DNS/UDP/53

Endereço IP público do serviço de borda do acesso ao servidor de borda

Qualquer um

Consulta DNS via UDP

A/V/RTP/TCP/50.000 A 59.999

Endereço IP do serviço de borda do servidor de borda A/V

Qualquer um

Obrigatório para federação com parceiros que executam o Office Communications Server 2007, o Office Communications Server 2007 R2, o Lync Server 2010 e o Lync Server 2013.

A/V/RTP/UDP/50000-59.999

Endereço IP público do serviço de borda do servidor de borda A/V

Qualquer um

Obrigatório somente para federação com parceiros que executam o Office Communications Server 2007.

A/V/RTP/TCP/50.000 A 59.999

Qualquer um

Endereço IP público do serviço de borda do servidor de borda A/V

Obrigatório somente para federação com parceiros que executam o Office Communications Server 2007

A/V/RTP/UDP/50000-59.999

Qualquer um

Endereço IP público do serviço de borda do servidor de borda A/V

Obrigatório somente para federação com parceiros que executam o Office Communications Server 2007

A/V/STUN, MSTURN/UDP/3478

Endereço IP público do serviço de borda do servidor de borda A/V

Qualquer um

3478 a saída é usada para determinar a versão do servidor de borda com a qual o Lync Server está se comunicando e também para o tráfego de mídia do servidor edge edge-to-edge. Obrigatório para federação com o Lync Server 2010, o Windows Live Messenger e o Office Communications Server 2007 R2 e também se vários pools de bordas forem implantados em uma empresa.

A/V/STUN, MSTURN/UDP/3478

Qualquer um

Endereço IP público do serviço de borda do servidor de borda A/V

STUN/desliga a negociação de candidatos via UDP/3478

A/V/STUN, MSTURN/TCP/443

Qualquer um

Endereço IP público do serviço de borda do servidor de borda A/V

STUN/TRANSFORMe a negociação de candidatos via TCP/443

A/V/STUN, MSTURN/TCP/443

Endereço IP público do serviço de borda do servidor de borda A/V

Qualquer um

STUN/TRANSFORMe a negociação de candidatos via TCP/443

Resumo de firewall para borda consolidada dimensionada, balanceamento de carga de hardware: nó de interface interna 1 e nó 2

Função/protocolo/TCP ou UDP/porta Endereço IP de Origem Endereço IP de Destino Notas

XMPP/MTLS/TCP/23456

Any (pode ser definido como endereço do servidor front-end ou endereço IP virtual do pool de front-end executando o serviço de gateway do XMPP)

Interface interna do servidor de borda

Tráfego de XMPP de saída do serviço de gateway do XMPP em execução em servidor front-end ou pool de front-end

HTTPS/TCP/4443

Any (pode ser definido como o IP ou pool do servidor de front-end que mantém o repositório de gerenciamento central)

Interface interna do servidor de borda

Replicação de alterações do repositório de gerenciamento central para o servidor de borda

PSOM/MTLS/TCP/8057

Any (pode ser definido como IP do diretor, IP do servidor front-end ou IP virtual do pool)

Interface interna do servidor de borda

Tráfego de Webconferência da implantação interna para a interface de servidor de borda interna

STUN/MSTURN/UDP/3478

Any (pode ser definido como IP do diretor, IP do servidor front-end ou IP virtual do pool)

Interface interna do servidor de borda

Caminho preferencial para transferência de mídia A/V entre usuários internos e externos, aparelho de ramificação sobreviventes ou servidor de ramificação sobreviventes

STUN/MSTURN/TCP/443

Any (pode ser definido como IP do diretor, IP do servidor front-end ou IP virtual do pool)

Interface interna do servidor de borda

Caminho de fallback para transferência de mídia A/V entre usuários internos e externos, aparelho de ramificação sobreviventes ou servidor de ramificação sobreviventes se não for possível estabelecer comunicação UDP, o TCP será usado para transferência de arquivos e compartilhamento de área de trabalho

MTLS/TCP/50001

Qualquer um

Interface interna do servidor de borda

Controlador de serviço de log centralizado usando cmdlets do Shell de gerenciamento do Lync Server e do serviço de log centralizado, comandos de linha de comando do ClsController (ClsController.exe) ou de agente (ClsAgent.exe) e coleção de logs

MTLS/TCP/50002

Qualquer um

Interface interna do servidor de borda

Controlador de serviço de log centralizado usando cmdlets do Shell de gerenciamento do Lync Server e do serviço de log centralizado, comandos de linha de comando do ClsController (ClsController.exe) ou de agente (ClsAgent.exe) e coleção de logs

MTLS/TCP/50003

Qualquer um

Interface interna do servidor de borda

Controlador de serviço de log centralizado usando cmdlets do Shell de gerenciamento do Lync Server e do serviço de log centralizado, comandos de linha de comando do ClsController (ClsController.exe) ou de agente (ClsAgent.exe) e coleção de logs

Os balanceadores de carga de hardware têm requisitos específicos quando implantados para fornecer disponibilidade e balanceamento de carga do Lync Server. Os requisitos são definidos na figura e nas tabelas a seguir. Fornecedores de terceiros podem usar terminologia diferente para os requisitos definidos aqui. Será necessário mapear os requisitos do Lync Server para os recursos e as opções de configuração fornecidas pelo fornecedor do balanceador de carga de hardware.

Ao configurar balanceadores de carga de hardware, considere os seguintes requisitos:

  • A conversão de endereços de rede de origem (SNAT) pode ser configurada no balanceamento de carga de hardware (HLB) para serviço de borda de acesso e serviço de borda de conferência Web

  • O SNAT não pode ser configurado no serviço de borda A/V – o serviço de borda A/V deve responder com o endereço do servidor real, e não com o IP virtual (VIP) do HLB, para fazer uma simples passagem do UDP sobre NAT (STUN)/Traversal usando o NAT de retransmissão (ativar)/Federation TURN (FTURN) para funcionar corretamente

    • Se o cliente envia uma solicitação para o HLB, a resposta deve retornar do VIP HLB

    • Se o cliente envia uma solicitação para a borda, a resposta deve retornar do IP de borda

  • Os endereços IP públicos são usados em cada interface do servidor e nos VIPs do HLB, e as suas necessidades de endereço IP público são N + 1, onde há um endereço IP público para cada interface do servidor real e outra para cada VIP HLB. Onde você tem dois servidores de borda no pool, isso resulta em 9 endereços IP públicos, em que 3 são usados para VIPs HLB e um para cada interface do servidor de borda (um total de seis para os servidores)

  • Para o serviço de borda de acesso e o serviço de borda de Webconferência (e usar NAT no HLB) o cliente entra em contato com o VIP, o VIP altera o endereço IP de origem do cliente para seu próprio endereço IP. A interface do servidor endereça o endereço do remetente ao VIP, o VIP altera o endereço de origem do endereço IP da interface do servidor e envia o pacote para o cliente

  • Para o serviço de borda a/V, o VIP não deve alterar o endereço IP de origem e o endereço do servidor real é retornado ao cliente diretamente – você não pode configurar o NAT no HLB para tráfego de AV

    • Se o cliente envia uma solicitação para o VIP HLB, a resposta deve retornar do VIP HLB

    • Se o cliente envia uma solicitação ao IP de borda, a resposta deve retornar do IP de borda

  • Para o AV, o firewall externo manterá o endereço IP público do real Server para todos os pacotes

  • Depois de estabelecida, o cliente para a comunicação do serviço de borda a/V se destina ao real Server, não ao HLB

  • A borda interna para servidores internos e clientes devem ser roteadas, e as rotas persistentes são definidas para todas as redes internas que hospedam servidores ou clientes

  • O serviço de borda de acesso do HLB funcionará como o gateway padrão para cada interface do servidor de borda

Observação

Para obter mais informações sobre o planejamento e a funcionalidade do NAT, consulte requisitos do balanceador de carga de hardware para o Lync Server 2013.

Detalhes de portas e protocolos do servidor de borda

Configurações de porta externa necessárias para borda consolidada dimensionada, carga de hardware balanceada: IPs virtuais de interface externa

Função/protocolo/TCP ou UDP/porta Endereço IP de Origem Endereço IP de Destino Notas

XMPP/TCP/5269

Qualquer um

Serviço de proxy XMPP (compartilha o endereço IP com o serviço de borda de acesso)

O serviço de proxy XMPP aceita o tráfego de contatos do XMPP em agrupamentos XMPP definidos

XMPP/TCP/5269

Serviço de proxy XMPP (compartilha o endereço IP com o serviço de borda de acesso)

Qualquer um

O serviço de proxy XMPP envia o tráfego para os contatos do XMPP em federações XMPP definidas

/TCP/443 de acesso/SIP (TLS)

Qualquer um

Endereço VIP público do serviço de borda do Access

Tráfego SIP de cliente para servidor para acesso de usuário externo

/TCP/5061 de acesso/SIP (MTLS)

Qualquer um

Endereço VIP público do serviço de borda do Access

Sinalização SIP, conectividade de mensagens de chat públicas e federadas usando o SIP

/TCP/5061 de acesso/SIP (MTLS)

Endereço VIP público do serviço de borda do Access

Parceiro federado

Sinalização SIP, conectividade de mensagens de chat públicas e federadas usando o SIP

Web Conferencing/PSOM (TLS)/TCP/443

Qualquer um

Endereço VIP público do serviço de borda de Webconferência da Web Edge

Mídia de Webconferência

A/V/STUN, MSTURN/UDP/3478

Qualquer um

Endereço VIP público do serviço Edge Server A/V

STUN/desliga a negociação de candidatos via UDP/3478

A/V/STUN, MSTURN/TCP/443

Qualquer um

Endereço VIP público do serviço Edge Server A/V

STUN/TRANSFORMe a negociação de candidatos via TCP/443

Resumo de firewall para borda consolidada em escala, balanceamento de carga de hardware: interface interna IPs virtual

Função/protocolo/TCP ou UDP/porta Endereço IP de Origem Endereço IP de Destino Notas

/TCP/5061 de acesso/SIP (MTLS)

Any (pode ser definido como director, endereço IP virtual do pool do diretor, servidor front-end ou endereço IP virtual do pool de front-end)

Interface VIP interna do servidor de borda

Tráfego SIP de saída (do diretor, endereço IP virtual do pool diretor, servidor front-end ou endereço IP virtual do pool de front-end) para VIP de borda interna

/TCP/5061 de acesso/SIP (MTLS)

Interface VIP interna do servidor de borda

Any (pode ser definido como director, endereço IP virtual do pool do diretor, servidor front-end ou endereço IP virtual do pool de front-end)

Tráfego SIP de entrada (para o director, endereço IP virtual do pool diretor, servidor front-end ou endereço IP virtual do pool de front-end) da interface interna do servidor de borda

SIP/MTLS/TCP/5062

Any (pode ser definido como endereço IP do servidor front-end ou endereço IP do pool de front-end ou qualquer aparelho de ramificação sobreviventes ou servidor de ramificação sobreviventes que use este servidor de borda)

Interface VIP interna do servidor de borda

Autenticação de usuários de A/V (serviço de autenticação A/V) do servidor front-end ou do endereço IP do pool de front-end ou qualquer aparelho de ramificação sobreviventes ou servidor de ramificação sobreviventes que use este servidor de borda

STUN/MSTURN/UDP/3478

Qualquer um

Interface VIP interna do servidor de borda

Caminho preferencial para transferência de mídia A/V entre usuários internos e externos

STUN/MSTURN/TCP/443

Qualquer um

Interface VIP interna do servidor de borda

Caminho de fallback para transferência de mídia A/V entre usuários internos e externos se não for possível estabelecer a comunicação UDP, o TCP será usado para transferência de arquivos e compartilhamento de área de trabalho

STUN/MSTURN/TCP/443

Interface VIP interna do servidor de borda

Qualquer um

Caminho de fallback para transferência de mídia A/V entre usuários internos e externos se não for possível estabelecer a comunicação UDP, o TCP será usado para transferência de arquivos e compartilhamento de área de trabalho